Læs med og se, hvordan synergien mellem CIS18 og NIS2 kan skabe en robust og helhedsorienteret cybersikkerhedsstrategi for din organisation.
CIS18 og NIS2 – hvordan hænger de sammen?

CIS18 og NIS2 – hvordan hænger de sammen?

Time Reading
6 minutters læsning
NIS2
CIS18

Cybersikkerhed er en strategisk nødvendighed i både store og små organisationer, og med implementeringen af NIS2-direktivet i oktober 2024 er kravene til cybersikkerhed skærpet markant. CIS18 kan fungere som en praktisk ramme, der kan strukturere cybersikkerhedsindsatsen og hjælpe organisationen med at opfylde flere af direktivets centrale krav.

Det er vigtigt at være opmærksom på, at selv organisationer, der ikke er direkte omfattet af NIS2, kan blive påvirket af kravene – for eksempel som leverandør til virksomheder, der skal efterleve direktivet.

Forstå samspillet mellem CIS18 og NIS2

Hvad betyder CIS18?

CIS18 er udviklet af Center for Internet Security (CIS) og består af 18 kontroller, der adresserer de mest almindelige cybersikkerhedstrusler. Rammeværket bygger på ekspertise fra flere sektorer og er udviklet til at håndtere en bred vifte af sikkerhedstrusler.

CIS18 er en frivillig standard, der fungerer som anbefalinger til organisationer, der ønsker at styrke cybersikkerheden. Med sine 18 kontroller tilbyder rammeværket en systematisk metode til at reducere risikoen for cyberangreb. Kontrollerne spænder over en række områder, herunder adgangskontrol, overvågning, hændelseshåndtering og datahåndtering, og de leverer detaljerede vejledninger til, hvordan organisationen kan identificere, prioritere og implementere effektive sikkerhedsforanstaltninger.

Hvad betyder NIS2?

NIS2-direktivet er en opdateret version af EU’s oprindelige NIS-direktiv, og formålet er at styrke cybersikkerheden på tværs af medlemslandene. Direktivet er målrettet organisationer i kritiske sektorer som energi, sundhed, transport og finans og stiller krav om at håndtere en bred vifte af trusler mod net- og informationssystemer.

Direktivet har fokus på governance og compliance og kræver implementering af tekniske, organisatoriske og operationelle sikkerhedsforanstaltninger, herunder risikostyring, hændelseshåndtering, forsyningskædesikkerhed og løbende overvågning. NIS2 sikrer dermed en systematisk tilgang til at beskytte både kritiske funktioner og data mod komplekse cybertrusler.

Sådan understøtter CIS18 arbejdet med NIS2-compliance

CIS18 fungerer som en praktisk ramme, der kan hjælpe organisationen med at implementere nogle af de tekniske foranstaltninger, der er nødvendige for at opfylde NIS2-direktivets krav. Hvor NIS2 beskriver, hvad organisationen skal gøre for at sikre compliance, tilbyder CIS18 en struktureret tilgang til, hvordan man kan styrke cybersikkerheden i praksis.

De 18 kontroller i CIS18 dækker en række områder som adgangskontrol, netværksovervågning og hændelseshåndtering. Kontrollerne kan integreres i organisationens processer for at forbedre sikkerheden og understøtte centrale krav i NIS2. CIS18 er især værdifuld til at styrke det operationelle fundament for compliance, da den tilbyder en skalerbar og effektiv tilgang til implementeringen af tekniske sikkerhedsforanstaltninger.

Det er vigtigt at bemærke, at NIS2’s krav strækker sig ud over det tekniske niveau og omfatter organisatoriske, juridiske og strategiske elementer. For at bygge bro mellem de tekniske kontroller i CIS18 og NIS2’s mere omfattende krav kan standarder som ISO 27001 supplere arbejdet. ISO 27001 giver en ramme for informationssikkerhedsledelse, der blandt andet fokuserer på governance og risikostyring, hvilket understøtter en holistisk tilgang til NIS2-compliance.

Integrering af CIS18 og NIS2 i praksis

For at optimere cybersikkerheden og arbejde hen imod NIS2-compliance kan organisationen tage nedenstående skridt. Husk dog, at NIS2 blandt andet stiller krav om ledelsesansvar, juridisk rapportering og dokumentation af compliance, hvilket går ud over CIS18’s tekniske fokus. CIS18 fungerer derfor bedst som et supplement til en bredere strategi, der også omfatter juridiske og organisatoriske elementer.

1) Foretag en modenhedsvurdering

Før organisationen begynder at bruge CIS18 til arbejdet med NIS2, er det vigtigt at forstå det nuværende cybersikkerhedsniveau. En modenhedsvurdering indebærer:

  • Kortlægning af eksisterende sikkerhedsforanstaltninger og identificering af mangler i forhold til NIS2-kravene.
  • Evaluering af organisationens implementering af CIS18’s kontroller, herunder tekniske, operationelle og organisatoriske tiltag.
  • Prioritering af indsatsområder baseret på de risici og krav, der er mest relevante for organisationens branche, størrelse og kritiske funktioner.

2) Implementer CIS18 som ramme

CIS18 kan fungere som en teknisk ramme for at styrke cybersikkerheden, men bør integreres i en bredere strategi. Implementeringen af CIS18 indebærer:

  • Udvælgelse af de mest relevante kontroller fra CIS18, der understøtter organisationens behov. Eksempelvis kan kontroller for adgangsbegrænsning, netværksovervågning og hændelseshåndtering prioriteres i de tidlige faser.
  • Integrering af CIS18’s kontroller i organisationens arbejdsprocesser og teknologiske infrastruktur, så de ikke kun understøtter lovgivningen, men også forbedrer den daglige sikkerhed.
  • Anvendelse af CIS18 som en fortløbende proces, hvor sikkerhedskontroller kontinuerligt forbedres og tilpasses, efterhånden som nye trusler opstår.

3) Overvåg og tilpas

Cybersikkerhed og compliance med NIS2 er en dynamisk proces, og derfor bør organisationen igangsætte:

  • Etablering af overvågningsmekanismer, der løbende evaluerer effektiviteten af sikkerhedsforanstaltningerne. Det kan omfatte automatiserede systemer til at overvåge netværkstrafik eller periodiske sikkerhedsrevisioner.
  • Løbende risikovurderinger for at identificere nye trusler eller sårbarheder og opdatere sikkerhedsforanstaltningerne derefter.
  • Dokumentering af opdateringer og tilpasninger, så organisationen altid kan demonstrere compliance over for tilsynsmyndigheder.

4) Integrer compliance i governance

En langsigtet og bæredygtig cybersikkerhedsstrategi skal integreres i organisationens governancestruktur gennem:

  • Ledelsesinvolvering i cybersikkerhedsstrategien, hvor bestyrelse og topledelse løbende informeres om status og fremskridt.
  • Udarbejdelse af klare politikker og procedurer der forbinder NIS2’s compliancekrav med organisationens overordnede forretningsmål.
  • Fremmelse af en cybersikkerhedskultur i organisationen gennem uddannelse og oplysning, så medarbejdere på alle niveauer forstår deres rolle i at opretholde sikkerheden.

Helhedsorienteret cybersikkerhed

Cybersikkerhed er et punkt på dagsordenen, der vedrører alle organisationer – store som små. Synergien mellem CIS18’s praktiske værktøjer og NIS2’s lovkrav kan udmønte sig i en strategi, der både beskytter mod trusler og styrker samarbejdet internt og eksternt.

Når cybersikkerhed bliver en del af virksomhedens DNA, øges både modstandsdygtigheden mod trusler og tilliden fra kunder og partnere. Dermed kommer cybersikkerhed til at handle om mere end bare compliance – det bliver en strategisk fordel, der styrker organisationens konkurrenceevne.
Logo

Andre artikler

Kom i gang med NIS2

Time Reading
7 minutters læsning
NIS2

CIS18: Hvad er det, og hvordan kan du bruge det?

Time Reading
9 minutters læsning
NIS2

CIS18 vs. ISO 27001: Hvad er forskellen?

Time Reading
6 minutters læsning
ISO
NIS2